网上银行系统强制性访问控制要求及实现方法 2012-11-07 14:32来源：中国电子银行网字号：小| 大导语：《网上银行系统信息安全通用规范》是金融机构开展网上银行系统建设的规范性依据，同样是行业主管部门、评估检测机构进行检查、检测及认证的标准化依据。

因此，深入理解规范要求，对各方加强信息安全建设有着重要的意义，本文主要介绍了《规范》中的强制访问控制概念及实现方法。

由中国人民银行组织编制的金融行业标准《网上银行系统信息安全通用规范》（JR/T 0068-2012）（以下简称《网银规范》）于2012年5月终于发布了正式版本。

同之前的版本比较，变化较为明显。

比如《网银规范》在主机安全和应用安全方面新增加了对强制访问控制的要求，笔者及团队在协助银行进行自检的过程中就碰到了行方对该项要求的一些疑惑。

本文将介绍强制访问控制的一些概念及实现方法。

先引用一下《网银规范》的要求项：
“6.1.4.3 主机安全增强要求：
c) 应对重要信息资源设置敏感标记。

d) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

6.1.4.4 应用安全增强要求：
e) 应具有对重要信息资源设置敏感标记的功能。

f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

”
《网银规范》对主机、应用的强制访问控制要求为增强要求。

按照规范，增强要求为该标准下发之日起的三年内应达到的安全要求。

其实在《信息安全技术-信息系统安全等级保护基本要求》（GB/T22239-2008）三级信息系统的主机安全要求及应用安全要求中就有了对重要信息资源设置敏感标记，依据安全策略严格控制用户对有敏感标记重要信息资源操作的要求。

访问控制是信息安全防范和保护的主要策略，用于保证信息资源不被非法使用和访问。

访问控制是软件安全模型最重要的组件之一，可分为自主访问控制和强制访问控制两大类访问控制措施。

在自主访问控制下，用户可以对其创建的文件、数据表等进行访问，并可自主地将访问权授予其他用户。

此类操作系统在TCSEC中约等同于C2级或以上。

在强制访问控制下，系统对需要保护的信息资源进行统一的强制性控制，按照预先设定的规则控制用户、进程等主体对信息资源的访问行为。

此类操作系统在TCSEC中约等同于B1级或以上。

目前国内银行主流的商用服务器操作系统通常采用自主访问控制机制，高等级主体如r oot、administrator等默认获得所有客体的访问控制权，一旦位于最高等级的超级管理员账号、密码等信息被攻击者盗取并成功利用，操作系统将无任何安全性可言。

近年来本地提权漏洞层出不穷，攻击者可以利用漏洞获取操作系统最高权限，对系统上的相关文件等资源进行查看、修改、删除等操作。

自主访问控制对系统的资源控制力度不到位，也难以防止通过隐秘信道向TCB外部泄露信息。

由于发达国家在核心产品及技术出口上的限制，B1级以上系统不对我国出口，所以国内普遍使用的商用服务器操作系统为C2级，没有强制访问控制机制，不满足等级保护三级的要求。

当初在制定等保规范的时候，相关专家也就这个问题进行过讨论，考虑到长期依赖国外进口操作系统使整个信息化基础建设面临的巨大风险，最后还是没有降低对三级系统的要求。

强制访问控制的要求作为一块悬石在等保评测过程中不断提醒着被测单位。

强制访问控制主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体（主体可以访问客体，如用户、程序进程、）和访问客体（如文件、存储空间、网络套接字等可被使用的系统资源）分配不同的安全级别属性（敏感标记）。

在实施访问控制时，系统先对访问主体和访问客体的安全级别属性进行比较，再根据事先制定的安全策略决定访问主体能否访问该受控对象。

在强制访问控制模型中，主客体安全级别和安全策略通常由安全管理员制定。

一经完成，就无法再由用户进行变更。

软件的访问控制机制是软件开发过程中必须要考虑到的安全需求之一。

《网银规范》对网银应用安全进行了专门的要求，内容已经比较全面和具体，可以作为网银开发方在设计系统安全模型时的要点来参考。

国内有一些自主开发的操作系统实现了强制访问控制机制，普通的操作系统要想实现强制访问控制，其改造难度不亚于新开发一套操作系统。

了解强制访问控制的三个要素，敏感标记、安全策略和主客体控制，可以通过管理控制和使用一些附加软件来模仿强制访问控制机制，在一定程度上规避操作系统强制访问控制措施缺失所带来的安全风险。

包括以下控制措施：
1.严格限制操作系统管理员账号的使用，禁止管理员账号远程访问操作系统。

需管理员账号权限的操作应经由严格审批并遵循多人负责的原则；
2.账号权限最小化，为每应用、每用户分配完成任务所必须的最小文件权限、最少sh ell并对账号操作进行审计；
3.对重要信息资源（如用户数据表、系统配置文件、审计记录、系统关键服务、密钥等）进行识别和定级，利用软件对这些资源进行监控；
4.操作系统功能最小化，对系统所有的进程、服务、网络连接进行登记和监控。

识别这些主体正常的访问、操作和行为，并以此为依据抽象和归纳同在线业务不产生冲突的访问控制策略。

利用软件及时发现并阻断超出安全策略的访问行为；
5.新增系统账号、系统服务的申请审批过程需遵循既定的安全策略；
6.非运营方定期审计系统运行日志及安全日志。

《网银规范》作为金融机构开展网上银行系统建设规范性依据，行业主管部门、评估检测机构进行检查、检测及认证的标准化依据，在发布、宣传，再到执行落地的过程中，各家银行的积极参与不可或缺。

深入理解规范要求，对寻找自身同规范间的差距，设立切合实际的信息安全工作计划有着重要的作用。

注1：Trusted Computer System Evaluation Criteria，美国可信计算机安全评价标准，俗称橘皮书。

该标准是计算机系统安全评估的第一个正式标准，将计算机系统的安全划分为4个等级、7个级别。

可参考GB/T 17859-1999。

注2：隐秘信道，允许进程以危害系统安全策略的方式传输信息的通信信道。

如利用共享文件、进程消息队列、TCP/IP报文等正常信息交换过程中无意义字段特征进行传输数据。

本文作者：中国金融认证中心颜维呈
(责任编辑：韩希宇)。